Python aumento di domande di JavaScript dominanza di
Aumento query guidata da interessi in Python e comunità di nuovi programmatori.
I ricercatori di sicurezza sono ancora alla ricerca di segreti nascosti in profondità all’interno della continuous integration services, anni dopo il problema di diventare conoscenza comune.
L’integrazione continua (CI) è una metodologia di codifica che richiede ai programmatori di integrare la loro in-dev codice in applicazione principale a vari intervalli. Questo codice viene compilato/costruito in una copia del sistema di produzione, e il codice è testato per i bug utilizzo di sistemi automatizzati.
Lo scopo di CI viene a trovare bug il più presto possibile nel processo di codifica e individuarli prima che siano troppo profondamente radicato nel resto del progetto, al punto che si può richiedere il vasto riscrive.
Il più famoso e ampiamente usato di tutte IC servizi è uno che si chiama Travis CI, amato soprattutto a causa del suo GitHub integrazione, ma anche gli altri esistono, come il Cerchio e CI GitLab CI.
Proprio come qualsiasi applicazione web, Travis CI mantiene i log di tutto ciò che accade, e uno dei più importanti di questi sono di un progetto build log, dove Travis CI prende il dev codice e lo integra con i principali repository di codice in un’operazione denominata “costruire”.
Durante il processo di generazione, le interazioni con i vari server remoti e le Api è necessario, e le password, le chiavi SSH, o token delle API può essere utilizzata ed intrinsecamente rimangono iscritti in Travis CI registri.
Un problema vecchio, nuovo
Un paio di anni fa, i ricercatori di sicurezza rese conto che potevano pettine Travis CI registri per le chiavi API e altri segreti, e segnalare questi problemi alle aziende di ricevere bug bounty.
Oltre alla buona volontà dei ricercatori di sicurezza, minaccia attori anche capito che potevano fare lo stesso, e alcuni di loro addirittura ha lanciato attacchi contro Travis CI per la ricerca build log in massa e di estrarre alcuni di questi segreti.
La Travis CI squadra ha imparato da questi attacchi e ha cambiato il suo processo di sempre. Negli ultimi anni, la Travis servizio CI ha condotto vari script automatici che consentono di rilevare i modelli che sembrano guardare come password o token delle API, e a sostituirla con la parola “[sicuro]” all’interno del log di costruzione.
Ma tre anni dopo, una squadra di sette bug bounty hunters ha trovato che, nonostante i migliori sforzi e le varie contromisure di più CI servizi, come Travis CI, Cerchio CI, e GitLab CI, alcune build log contengono ancora segreti.
Utilizzando appositamente predisposto gli strumenti, i ricercatori hanno scansionato CI log di costruzione per il passato pochi mesi per trovare un nuovo perdite di dati sensibili.
Hanno trovato perdite Grammarly, Discorso, un pubblico cryptocurrency programma e un’organizzazione che non si desidera assegnare un nome.
“In generale, più impattanti risultati sono stati prevalentemente GitHub token di accesso fughe di notizie,” i ricercatori hanno detto. Ora spingono le imprese a rivedere CI log di costruzione per qualsiasi sensibili token che possono scivolare attraverso Travis CI è modello di base procedure di filtraggio.
CI build log di nascondere le applicazioni utilizzando ancora morto pacchetti
Inoltre, i ricercatori hanno anche detto che oltre segreto token di accesso, un utente malintenzionato può anche prendere un’altra strada e di ricerca CI log di costruzione per termini come “non è la npm del registro di sistema” “Nessuna corrispondenza di distribuzione” e “non riuscivo a trovare un valido gemma”, che sono i messaggi di errore quando una libreria, è stato rimosso dal npm, PyPI, o RubyGems repository dei pacchetti.
I ricercatori hanno detto che gli aggressori possono utilizzare questo trucco per imparare i nomi dei morti pacchetti che sono ancora utilizzati in progetti attivi.
Si può quindi registrare nuovamente i pacchetti, e quindi utilizzare il ladro biblioteca per backdooring legittimi progetti.
I ricercatori ora sperano che le aziende di prendere uno sguardo da vicino a loro build log possono anche trovare nuove vie di attacchi che hanno perso.
“Questa ricerca ci ha aiutato a ottenere una migliore comprensione del grande superficie di attacco che continua-l’integrazione dei servizi presenti – quasi nascosto in bella vista,” il team di ricerca ha detto.
Più vulnerabilità di report:
Windows 10 zero-day exploit codice rilasciato onlineIntense la scansione di attività rilevate per BlueKeep RDP difetto
Un grande pezzo di Ethereum clienti rimangono unpatchedResearcher pubblica di Windows zero-day per il terzo giorno in un rowMobile Chrome, Safari e Firefox non è riuscito a mostrare avvisi di phishing per più di un yearRoot conto configurazioni errate trovato nel 20% dei 1.000 Mobile containersKRACK attacco: Ecco come le aziende stanno rispondendo CNETTop 10 app vulnerabilità senza Patch, i plugin e le estensioni dominare TechRepublic
Argomenti Correlati:
Sviluppatore
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati